AI-agents verschuiven razendsnel van vragen beantwoorden naar acties uitvoeren. Ze halen klantgegevens op, starten workflows, maken documenten aan, communiceren met bedrijfssystemen en automatiseren beslissingen. Met die nieuwe macht komt een nieuwe uitdaging: naarmate agents capabeler worden, worden ook de gevolgen van falen een stuk groter.
Op de recente OutSystems ONE 2026-conferentie kwamen security en governance keer op keer terug in de gesprekken over agentic systemen. Het patroon is moeilijk te missen: een agent bouwen wordt elke maand makkelijker, terwijl hem beveiligen echt moeilijk blijft.
Bij Harmony Group werken we steeds vaker met organisaties die agentic willen werken, en één les bewijst zich steeds opnieuw: security mag geen bijzaak zijn.
De grote misvatting
Wie het over AI-risico's heeft, denkt vaak meteen aan dataprivacy. Vragen zoals:
- Worden onze eigen data gebruikt om publieke modellen te trainen?
- Maskeren we persoonsgegevens (PII)?
- Kan gevoelige klantinformatie in prompts lekken?
Dat zijn belangrijke vragen, en degelijke privacycontroles blijven onmisbaar.
Maar privacy en security zijn niet hetzelfde.
De incidenten die organisaties het meest verrassen, zijn vaak helemaal geen privacyproblemen, maar fouten in systeemontwerp, governance en security. Aanvallers richten zich steeds vaker op AI-systemen via technieken als prompt injection, jailbreak-pogingen, vergiftigde content en gecompromitteerde integraties. Het doel is vaak niet om rechtstreeks bij data te komen, maar om het gedrag van de agent te manipuleren.
Als een AI-agent zo wordt gemanipuleerd dat hij zijn instructies negeert, gevoelige processen blootlegt of onbedoelde acties uitvoert, dan is niet alleen de modelleverancier daarvan de dupe. De organisatie die de agent inzet, draagt de verantwoordelijkheid, en ook het reputatierisico.
Hoe dit er in de praktijk uitziet
Abstracte waarschuwingen over "prompt injection" worden pas echt tastbaar met een concreet voorbeeld. Neem EchoLeak (CVE-2025-32711), een kwetsbaarheid in Microsoft 365 Copilot die in 2025 werd ontdekt.
Het gevaarlijke hieraan? Het was een zero-click aanval. Het slachtoffer hoefde alleen maar een kwaadaardige e-mail te ontvangen; openen was niet eens nodig. Zodra de gebruiker Copilot later vroeg om bijvoorbeeld documenten samen te vatten, las de AI op de achtergrond ook die e-mail mee. De verborgen instructies van de aanvaller werden direct uitgevoerd, wat ongemerkt leidde tot het lekken van bedrijfsgegevens.
Er werd geen firewall doorbroken en er zijn geen wachtwoorden gestolen. De assistent deed simpelweg wat hij moest doen: content lezen en verwerken. Alleen kwamen de instructies van de verkeerde persoon.
Dit fenomeen heet indirecte prompt injection: vijandige instructies die niet van de gebruiker zelf komen, maar verstopt zitten in externe content die de AI binnenhaalt.
Al in 2023 werd dit theoretisch beschreven (Greshake e.a.), maar EchoLeak bewijst dat het inmiddels een reëel risico is voor enterprise-software.
Securityonderzoeker Simon Willison verklaart deze kwetsbaarheid door de "lethal trifecta". Elk AI-systeem dat de volgende drie eigenschappen combineert, is by design vatbaar voor datadiefstal:
- Toegang tot privédata.
- Blootstelling aan niet-vertrouwde content (zoals e-mails of websites).
- De mogelijkheid om extern te communiceren.
Omdat de meeste nuttige enterprise-agents precies deze drie functies nodig hebben om hun werk te doen, is het beveiligen ervan zo extreem complex.
Architectuurprobleem
Een van de grootste fouten die organisaties maken, is daarom ook aannemen dat AI-security kan worden uitbesteed aan de modelleverancier.
Moderne AI-systemen zijn veel meer dan één LLM. Ze bestaan uit prompts, orchestratielagen, API's, databases, vector stores, externe tools, businesslogica en gebruikersinterfaces die samenwerken.
Zelfs het meest geavanceerde model kan een securityrisico worden zodra het in een onveilige architectuur wordt ingebouwd.
De echte uitdaging is dus niet het model zelf beveiligen, maar het hele ecosysteem eromheen. En dat vraagt om een bredere blik op hoe agentic systemen worden ontworpen, uitgerold en bestuurd.
Een manier om naar de AI-stack te kijken
Het helpt om agentic systemen te zien als een gelaagd probleem, waarbij elke laag andere risico's introduceert en andere bescherming vraagt. Het is minder een eigen framework dan een praktische manier om te zorgen dat niets over het hoofd wordt gezien.
Grofweg valt het uiteen in drie domeinen.
1. De capability-laag (modellen)
Deze laag bevat de large language models, embeddingmodellen en reasoning-engines die de agent aandrijven.
Deze modellen zijn ongelooflijk capabel, maar het zijn geen deterministische securitysystemen. Ze zijn te beïnvloeden met zorgvuldig opgestelde input en blijven gevoelig voor prompt injection en jailbreak-technieken. Prompt injection staat bovenaan de OWASP Top 10 voor LLM-applicaties, en die beperkingen begrijpen is de eerste stap naar een veilige implementatie.
2. De intelligence-laag (pipelines en orchestratie)
Hier leeft de echte businesslogica. De intelligence-laag verbindt modellen met API's, databases, bedrijfsapplicaties, kennisbronnen en andere agents. Ze orchestreert workflows en bepaalt hoe informatie door het systeem stroomt.
Klassieke cybersecurityzorgen blijven hier volop relevant. Gecompromitteerde inloggegevens, blootgestelde API-sleutels, kwetsbare integraties of onvoldoende toegangscontrole kunnen aanvallers in staat stellen de gebruikersinterface volledig te omzeilen en rechtstreeks met backendservices te communiceren.
Hier leeft ook het meest onderschatte agentic risico: excessive agency (te veel handelingsvrijheid). OWASP noemt dit een apart top-tien-risico voor LLM-applicaties, en het is misschien wel dé bepalende agentic kwetsbaarheid. Een agent heeft excessive agency wanneer hij meer capaciteit, rechten of autonomie heeft dan de taak vereist: te veel tools, te ruime API-scopes, of de mogelijkheid om ingrijpende acties (versturen, verwijderen, betalen, escaleren) uit te voeren zonder menselijke controle.
EchoLeak is gevaarlijk omdat Copilot zowel privécontent kon lezen als kon handelen binnen een context die niet-vertrouwde input kon bereiken. Verbreek die combinatie (scheid lezen van elke externe actie, vraag bevestiging vóór ingrijpende stappen, geef de krapst mogelijke rechten die de taak nodig heeft) en dezelfde injectiepoging mislukt zonder schade. Agentic security draait in de praktijk grotendeels om het gedisciplineerd beheren van wat een agent mag doen, niet alleen wat hij mag lezen. Naarmate agents toegang krijgen tot meer bedrijfssystemen, wordt governance op deze laag cruciaal.
3. De experience-laag (interactie met de gebruiker)
De experience-laag omvat de applicaties, portalen en interfaces waarmee gebruikers met agents interacteren.
Dit is vaak waar kwaadaardige input het systeem binnenkomt. Gebruikers kunnen, bewust of onbewust, misleidende, tegenstrijdige of manipulatieve instructies aanleveren. En zoals EchoLeak laat zien, komt vijandige input niet altijd van de persoon achter het toetsenbord; hij kan meeliften op elke content die de agent binnenhaalt. Zonder de juiste waarborgen kunnen die inputs het gedrag verderop in de keten beïnvloeden en onverwachte uitkomsten veroorzaken.
Publiek toegankelijke agents zouden daarom ontworpen moeten worden vanuit de aanname dat vijandige input uiteindelijk onvermijdelijk is.
Hoe wij AI veilig aanpakken bij Harmony
Er bestaat geen universeel securityframework dat je zomaar op elk AI-project kunt loslaten. Security begint bij context.
Definieer eerst het dreigingsmodel. Een klantgerichte support-agent loopt totaal andere risico's dan een interne HR-assistent of een AI-gestuurde klinische beslissingsondersteuning. Vóór je controles inbouwt, moet je de specifieke risico's van de use case begrijpen die je oplost.
Vertrouw geen enkele input, waar hij ook vandaan komt. Gebruikersprompts, opgehaalde documenten, e-mails en antwoorden van externe API's verdienen dezelfde behandeling als externe input in een klassieke applicatie. Validatie, scheiding van verantwoordelijkheden en gecontroleerde toegang blijven essentieel.
Beperk bewust de handelingsvrijheid. Geef een agent de minste tools en de krapste rechten die zijn taak vereist, scheid leestoegang van schrijf- en verzendtoegang, en zet een human in the loop bij ingrijpende of onomkeerbare acties.
Zet guardrails en governance in. Moderne AI-platformen bieden steeds vaker dedicated governance-mogelijkheden. Waar een low-code platform zoals OutSystems met Agent Guardrails focust op het monitoren en beschermen van prompts en responses op applicatieniveau, trekt MuleSoft die governance door naar de data- en integratielaag. Via MuleSoft kun je strikte API-policies afdwingen op de gateways die LLM's en (externe) AI-services verbinden met je enterprise systemen. Zulke controles elimineren het risico niet, maar vormen een belangrijke laag binnen een bredere defence-in-depth-strategie.
Blijf dicht bij het onderzoek. Het AI-securitylandschap verandert in een opmerkelijk tempo, en veel opkomende aanvalstechnieken duiken op in onderzoekspublicaties lang voordat ze mainstream worden in de sector. Op de hoogte blijven betekent academisch onderzoek, securitycommunity's en frameworks volgen zoals de OWASP-richtlijnen voor de security van LLM- en agentic applicaties.
Bouwen voor enterprise-eisen
Bij Harmony IT helpen we klanten niet alleen AI te adopteren. We zoeken ook uit hoe je het draaiende houdt in streng gereguleerde omgevingen, met private ontwikkelomgevingen, gecontroleerde CI/CD-pipelines en herbruikbare AI-assets die aansluiten op echte compliance-eisen.
We experimenteren ook via intern onderzoek en communityprojecten, waaronder werk aan AI-benchmarking en evaluatietooling, want je kunt niet beveiligen of vertrouwen wat je niet kunt meten.
De weg vooruit
AI-agents worden razendsnel onderdeel van het IT-landschap. De vraag is niet langer óf organisaties ze gaan inzetten, maar hoe ze dat verantwoord doen.
Security kan niet langer een compliance-vinkje zijn dat je aan het einde van een project toevoegt. Het moet vanaf dag één in de architectuur zitten.
Want terwijl een agent bouwen elke maand makkelijker wordt, is een agent bouwen die onder druk betrouwbaar blijft de échte engineeringuitdaging.
Zet je agents in productie en wil je een frisse blik op waar ze mogelijk te veel rechten hebben? Daar praten we graag over mee.







